Les arnaques bancaires ne se contentent plus de coups de fil bluffants ni de mails piégés. D’après Les Caméléons, le livre-enquête brûlant de Thibaut Martinez-Delcayrou, les réseaux de faux conseillers bancaires ont franchi une étape sidérante : envoyer leurs propres « taupes » décrocher un CDI, un CDD ou une alternance au cœur même des établissements. Résultat ? Des bases clients siphonnées depuis l’intérieur et un hold-up mené en costume-cravate, badge au cou.
Comment on en est arrivé là
Au fil de 15 mois d’investigation, l’auteur révèle un phénomène qu’il qualifie de « banque inversée » : ce ne sont plus les cybercriminels qui piratent le SI, mais les banques qui les invitent en open-space. Dans le podcast Récits d’enquête de France Culture, il chiffre déjà 500 salariés compromis en 2024, pour 40 millions d’euros détournés grâce à leurs fuites de données ( radiofrance.fr ). Et rien n’indique un reflux : depuis janvier 2025, 190 nouveaux suspects ont été identifiés.
Des chiffres qui font froid dans le dos
| indicateur | 2023 | 2024 | 2025* | source |
|---|---|---|---|---|
| salariés infiltrés ou retournés | 320 | 500 | 190 | France Culture |
| butin lié aux fuites internes | 27 M € | 40 M € | 14 M € | France Culture |
| préjudice total arnaque bancaire (France) | — | 1,195 Md € | — | Le Monde |
Un mode opératoire travaillé dès le CV
- candidature ciblée : les réseaux scrutent les annonces en intérim/back-office et les branches sous-tension (plateformes titres, relation client).
- phase d’observation : 2 à 6 semaines pour repérer superviseurs laxistes, horaires creux et scripts anti-fraude.
- exfiltration progressive : captures d’écran, exports CSV ou simples photos d’écran envoyées la nuit via ProtonMail. Les fiches « VIP senior » (soldes > 100 k€ + retraite stable) se revendent 20 € pièce.
- nettoyage des logs : un petit script décale l’heure des consultations afin qu’elles tombent pendant un pic d’activité réel, rendant l’audit presque impossible.
Profils de recrues et points d’entrée préférés
| fonction ciblée | raison du choix | durée moyenne avant détection |
|---|---|---|
| support téléphonique externalisé | accès routage appels + usurpation numéro fixe | 11 mois |
| assistant back-office virements | droits élévation plafond & désactivation 3-D Secure | 7 mois |
| conseiller clientèle junior (alternance) | visibilité globale mouvements + téléphone clients | 14 mois |
Cas d’école : la Banque Royale du Canada prise la main dans le sac
Outre-Atlantique, la Banque Royale (RBC) se débat avec une vague d’attaques orchestrées par de faux employés. L’humoriste Peter MacLeod a vu 16 000 $ partir sous ses yeux après un appel « vérification de sécurité » où l’interlocuteur connaissait tous ses soldes ( journaldemontreal.com). Le modus operandi canadien recoupe point par point celui décrit dans Les Caméléons : taupe interne, usurpation du numéro RBC, script d’urgence, vol.
Pourquoi les banques laissent faire
- filtre RH minimal : les contrôles de casier judiciaire sont sous-traités et ne croisent pas les alias orthographiques.
- turn-over rentable : un CDD de six mois coûte moins cher qu’un CDI ; l’établissement absorbe sa perte comme un « coût commercial ».
- SI désagrégés : retirer un badge coupe la porte d’entrée, pas le CRM ni l’outil virements.
- priorité aux ventes : en pic de campagne livret A, chaque bras compte. La compliance attendra.
Et puis surtout, et notamment en France, les banques ont l’habitude de taire les scandales, pour garder une façade respectable et éviter les « bankruns ». « Circulez il n’y a rien à voir » est leur quasi devise dans les arnaques bancaires et vols dont pourtant elles sont aussi victimes et dont elles cachent soigneusement les véritables chiffres.
Les banques préfèrent tout faire pour ne pas rembourser leurs clients (voir Refus de remboursement par la banque suite à une fraude bancaire: que faire ? ) et cacher les vols et escroqueries qu’elles hébergent alors qu’une attitude beaucoup plus ouverte et une collaboration plus étroite avec les forces de l’ordre permettraient d’arrêter nombre de criminels.
Songez par exemple qu’en cas de vol détournement de chèque ou de virement, les banques ne vous diront jamais à vous, victime, où est le compte qui a encaissé l’argent et à qui il appartient afin que vous puissiez tout dire à la Police ou à la Gendarmerie. Il faut que Policiers ou Gendarmes fassent une réquisition ! Plus qu’assez pour que les criminels ou les mules financières aient fermé leur compte et soient partis dans la nature… avec votre argent.
Ce que dit Les Caméléons pour refermer la brèche
- révocation temps réel des droits dès validation du préavis de départ.
- clean rooms : consultation des données uniquement en session watermarkée, export interdit.
- double filtrage RH : contrôle judiciaire + déclaration d’intérêt (lien avec un client géré).
- prime d’intégrité : 200 € pour tout salarié signalant une approche corruptrice, largement moins coûteux qu’un remboursement collectif.
Comment se protéger, côté client
Même si la taupe a déjà vos données, elle doit encore vous convaincre :
- Ne jamais communiquer de code reçu par SMS : il valide, il n’annule jamais.
- Raccrocher et rappeler via le numéro gravé sur votre carte.
- Refuser toute installation d’AnyDesk, TeamViewer ou équivalent.
- Activer la double signature manager sur les virements > 1 000 €.
- Demander à l’agence un mot de passe fixe à donner avant toute opération téléphonique.
Conclusion : les banques doivent choisir entre confort et confiance
Tant que vendre une fiche client « VIP » coûtera moins cher qu’un café, les taupes continueront de pulluler derrière les guichets et le faux conseiller bancaire n’aura même plus besoin de dissimuler son accent. L’arnaque bancaire a muté : elle s’habille en costume et passe la badgeuse tous les matins.
Pour que la promesse de sécurité redevienne crédible, les établissements devront relever un défi simple : couper l’accès dès qu’il n’est plus justifié et rémunérer l’honnêteté au même niveau que la vente. En attendant, gardez ce mantra à portée de main : un vrai banquier ne demande jamais un code pour « annuler » un virement — et encore moins votre confiance à distance.
